noyb meddelar på sin webbplats att organisationen lämnat in tre klagomål mot Fitbit i Österrike, Nederländerna och Italien. Fitbit, som förvärvades av Google 2021, tvingar nya användare av företagets app att samtycka till överföringar av personuppgifter utanför EU. I strid med gällande krav ges användarna inte heller möjlighet att dra tillbaka sitt samtycke. Istället måste de helt radera sitt konto för att stoppa den olagliga behandlingen.
Enligt noyb måste europeiska användare som skapar ett konto hos Fitbit samtycka till att deras uppgifter överförs till USA och andra länder med andra dataskyddslagar. Detta innebär att deras uppgifter kan hamna i vilket land som helst i världen som inte har samma integritetsskydd som EU. Med andra ord tvingar Fitbit sina användare att samtycka till att dela känsliga uppgifter utan att ge dem tydlig information om eventuella konsekvenser eller de specifika länder som deras uppgifter skickas till. Detta resulterar i ett samtycke som varken är fritt, informerat eller specifikt, vilket innebär att samtycket helt klart inte uppfyller kraven i dataskyddsförordningen (GDPR).
Enligt Fitbits integritetspolicy omfattar de delade uppgifterna inte bara saker som användarens e-postadress, födelsedatum och kön. Företaget kan också dela data som loggar för mat, vikt, sömn, vatten eller spårning av kvinnlig hälsa genom ett larm, meddelanden på diskussionsforum eller till användarens vänner. De insamlade uppgifterna kan även delas för behandling med tredjepartsföretag som Fitbit inte angett var företagen är belägna. Dessutom är det omöjligt för användarna att ta reda på vilka specifika uppgifter som påverkas. Alla tre klagande har enligt noyb utövat sin rätt att få tillgång till information hos Fitbits dataskyddsombud, men de har inte fått något svar.
För att se till att användarna kan ändra sig ger GDPR också varje person rätt att återkalla sitt samtycke. Fitbits integritetspolicy anger att det enda sättet att dra tillbaka sitt samtycke är att radera ett konto. För konsumenter innebär det enligt noyb att de förlorar alla sina tidigare tränings- och hälsodata. Detta gäller även om konsumenten köpt en premiumprenumeration för 79,99 euro per år.
Även om det fanns ett sätt att dra tillbaka sitt samtycke skulle Fitbit enligt noyb fortfarande inte följa europeisk integritetslagstiftning. GDPR anger tydligt att samtycke endast kan användas som ett undantag från förbudet mot överföring av personuppgifter utanför EU, vilket innebär att samtycke endast kan vara en giltig rättslig grund för tillfälliga och icke-repetitiva överföringar. Fitbit använder enligt noyb samtycke för att dela alla hälsouppgifter rutinmässigt.
noyb vill att de österrikiska, nederländska och italienska dataskyddsmyndigheterna ska förelägga Fitbit att dela all obligatorisk information om överföringarna med sina användare och låta dem använda appen utan att behöva samtycka till överföringarna.